Auditoria de Sistemas IS-547

Ingeniera de Sistemas

ESCENARIOS DE RIESGO Y CONTROLES SEM

5

EL RIESGO EN LA SEGURIDAD INFORMATICA

En el marco puramente conceptual, el Riesgo se entiende como la posibilidad de que un
evento, contingencia o episodio ocurra y que pueda tener impacto en los procesos del negocio;
en los objetivos y en las metas corporativas. Es muy improbable el cero riesgo, pero si se
puede mitigar de manera importante, mediante eficaces sistemas de control y la disponibilidad
de mapas de riesgo. Desde el punto de vista organizacional o corporativo es posible disponer
de un modelo estratgico de gestin del riesgo, que sea capaz de reducir sus impactos y
mitigar los efectos y alcances, cuando este sea inevitable asumir. Un modelo estratgico de
gestin del riesgo, an aceptando que los modelos son solo aproximaciones, debera tener los
siguientes elementos que, claramente, permiten aumentan la capacidad del modelo para
prevenir a la organizacin cuando ello es una realidad sin vuelta: Presencia de controles de
seguridad necesarios para mitigar el riesgo asociado a la fuga de informacin. Desarrollo de
una poltica de seguridad corporativa. Amplio espacio para implementar controles efectivos.
Definicin de polticas de gestin de identidad y de accesos a la informacin Decisiones
slidas en cuanto a la relevancia de tener planes de promocin de una cultura de seguridad
Inversiones en procedimientos electrnicos para la gestin de contenidos de la documentacin
electrnica (Knowledge Management) Disposicin de soluciones integrales de cifrado de datos,
la seguridad de la informtica y de la documentacin electrnica, no pasa tanto por la riqueza
en HW y SW, sino que lo hace ms bien, por la riqueza del capital intelectual de la entidad y
por como este , en un proceso de conversaciones inteligentes de carcter permanente, es
capaz de asociar la seguridad y sus exigencias, con los logros en su propio bienestar, y con
ello, asume una buena disposicin para desarrollar un concepto de CULTURA DE LA
SEGURIDAD INFORMATICA en la Institucin. Apreciamos los siguientes como principios
rectores para un modelo de Cultura de la Seguridad Informtica: CONOCIMIENTO: ESTO ES
CONCIENCIA DE SU NECESIDAD RESPONSABILIDAD: DE TODOS RESPUESTA:
CONDUCTA PROACTIVA FRENTE A INCIDENTES ETICA: RESPETO POR LOS DEMAS
EVALUACION DE LOS RIESGOS : EN FORMA PERMAN ENTE DISEO E
IMPLEMENTACION DEL MODELO : EN BREVE PLAZO GESTION DE LA SEGURIDAD: EN
LA ORGANICA DE LA ENTIDAD 8 FEEDBACK Y MEJORAMIENTO CONTINUO :
PROCESOS RELEVANTES El marco lgico para el anlisis y evaluacin del riesgo en la
seguridad informtica puede definirse como sigue: Lo primero es tener muy claro que la
exposicin al riesgo, pasa por una clara definicin de las AMENAZAS, IMPACTOS Y
VULNERABILIDADES de la entidad y su modelo de gestin. A su turno, ese escenario est en
directa relacin con aspectos organizacionales vinculados con a lo menos, los ACTIVOS
(infraestructura) SERVICIOS y CONTROLES existentes, y sus capacidades de eficiencia,
eficacia y oportunidad, y es en este esquema, en el que deben resolverse las decisiones
relativas al Riesgo In gerente y al Riesgo Efectivo. Finalmente, en esta materia se estima de
utilidad, tener presentes los siguientes documentos: UNE-I50/IEC 17.799 CODIGO DE
BUENAS PRCTICAS PARA LA GESTION DE LA SEGURIDAD INFORMATICA INFORME
UNE 71.501 PARTE 3 ESTRATEGIAS DE GESTION DE LA SEGURIDAD EN TI. RIESGO
COMBINADO INFORME UNE 71.502-2004 ESPECIFICACIONES PARA LOS SGSI Para un
efectivo anlisis del riesgo en el sistema de informacin y en la seguridad informtica, es
sugerente desglosar un proceso de negocios, lo que facilita el anlisis y la gestin del riesgo, a
partir de los subprocesos asociados. Asimismo, precisar los flujos de transacciones relevantes
y diferenciados, asociados a productos del negocios, permite identificar los procesos. As
entonces, la gestin de un sistema de informacin, se examen a como PROCESO y como
SUBPROCESOS, por ejemplo, el uso de la Plataforma Tecnolgica, la gestin del Desarrollo y
Explotacin, Aplicaciones de HW y SW de Seguridad, las acciones en materia de Soporte y
Mantencin y la funcin de Comunicaciones. Las reas ms sensibles en materia de
evaluacin del riesgo en la seguridad informtica podran ser las siguientes: SISTEMAS
OPERATIVOS APLICACIONES REDES SERVIDORES DOCUMENTACION ELECTRONICA
INTRANET INTERNET LO FISICO USUARIOS En el modelo de gestin de la seguridad, es
posible advertir algunos requisitos esenciales, para asegurar su eficiencia, como los que se
indican: 9 Definiciones de accesibilidad (autenticacin) de identidades y permisos Reforzar la
confidencialidad de la informacin relevante. Declarar corporativamente el valor de la
documentacin electrnica como activo Impedir accesos no autorizados Integridad de la

1
 Auditoria de Sistemas IS-547
Ingeniera de Sistemas

informacin, promoviendo una sola identidad responsable y la no manipulacin de la

informacin Procurar disponibilidad permanente y garantizar el 99,9% Nos parece interesante
comentar algunos aspectos relativos a los principales problemas en seguridad informtica, que
suelen ser pan de cada da en la gestin informtica de las organizaciones, y que, se
resuelven con soluciones de la ms variada ndole, y en muchos casos recurriendo al talento y
creatividad de los propios usuarios de los sistemas. As, podemos mencionar los incidentes
mas frecuentes en esta materia: NO COMPRENDER LOS OBJETIVOS GENERALES DE LA
ORGANIZACIN SEGURIDAD NO FUNCIONAL A ESOS OBJETIVOS NO SE CONTRIBUYE
A OPTIMIZAR LOS PROCESO DE NEGOCIOS NO CONTROLAR EL CUMPLIMIENTO DE
TIEMPOS Y RECURSOS AUSENCIA DE PLANIFICACION Y EVALUACION EN DEMANDA
DE RECURSOS. Ahora bien, en el mundo real de las organizaciones pblicas en Chile, no se
esta al margen de ataques que traen consecuencia de diversa naturaleza y que pueden
resumirse, de acuerdo a su frecuencia, como sigue: INTERCEPCION DE CONTRASEAS
ROTURA DE CONTRASEA FALSIFICACIONDE IDENTIDADES ROBO DE INFORMACION
DESTRUCCION DE DATOS DENEGACION DEL SERVICIO Claramente estos episodios traen
consigo diversidad de impactos en los sistemas y entre ellos, mencionamos los siguientes

LAS AMENAZAS

Una vez que la programacin y el funcionamiento de un dispositivo de almacenamiento (o

transmisin) de la informacin se consideran seguras, todava deben ser tenidos en cuenta las
circunstancias "no informticas" que pueden afectar a los datos, las cuales son a menudo
imprevisibles o inevitables, de modo que la nica proteccin posible es la redundancia (en el
caso de los datos) y la descentralizacin -por ejemplo mediante estructura de redes- (en el
caso de las comunicaciones).

Estos fenmenos pueden ser causados por:

El usuario: causa del mayor problema ligado a la seguridad de un sistema informtico

(porque no le importa, no se da cuenta o a propsito).
Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilcito de
los recursos del sistema. Es instalado (por inatencin o maldad) en el ordenador
abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden
ser un virus informtico, un gusano informtico, un troyano, una bomba lgica o un
programa espa o Spyware.
Un intruso: persona que consigue acceder a los datos o programas de los cuales no
tiene acceso permitido (cracker, defacer, script kiddie o Script boy, viruxer, etc.).
Un siniestro (robo, incendio, inundacin): una mala manipulacin o una malintencin
derivan a la prdida del material o de los archivos.
El personal interno de Sistemas. Las pujas de poder que llevan a disociaciones entre
los sectores y soluciones incompatibles para la seguridad informtica.

Tipos de amenaza

El hecho de conectar una red a un entorno externo nos da la posibilidad de que algn atacante
pueda entrar en ella, con esto, se puede hacer robo de informacin o alterar el funcionamiento
de la red. Sin embargo el hecho de que la red no sea conectada a un entorno externo no nos
garantiza la seguridad de la misma. De acuerdo con el Computer Security Institute (CSI) de
San Francisco aproximadamente entre 60 y 80 por ciento de los incidentes de red son
causados desde adentro de la misma. Basado en esto podemos decir que existen 2 tipos de
amenazas:

Amenazas internas: Generalmente estas amenazas pueden ser ms serias que las
externas por varias razones como son:

-Los usuarios conocen la red y saben cmo es su funcionamiento.

-Tienen algn nivel de acceso a la red por las mismas necesidades de su trabajo.

2
 Auditoria de Sistemas IS-547
Ingeniera de Sistemas

-Los IPS y Firewalls son mecanismos no efectivos en amenazas internas.

Esta situacin se presenta gracias a los esquemas ineficientes de seguridad con los que
cuentan la mayora de las compaas a nivel mundial, y porque no existe conocimiento
relacionado con la planeacin de un esquema de seguridad eficiente que proteja los recursos
informticos de las actuales amenazas combinadas.

El resultado es la violacin de los sistemas, provocando la prdida o modificacin de los datos

sensibles de la organizacin, lo que puede representar un dao con valor de miles o millones
de dlares.

Amenazas externas: Son aquellas amenazas que se originan de afuera de la red. Al no

tener informacin certera de la red, un atacante tiene que realizar ciertos pasos para poder
conocer qu es lo que hay en ella y buscar la manera de atacarla. La ventaja que se tiene
en este caso es que el administrador de la red puede prevenir una buena parte de los
ataques externos.

La amenaza informtica del futuro

Si en un momento el objetivo de los ataques fue cambiar las plataformas tecnolgicas ahora las
tendencias cibercriminales indican que la nueva modalidad es manipular los significados de la
informacin digital. El rea semntica, era reservada para los humanos, se convirti ahora en el
ncleo de los ataques debido a la evolucin de la Web 2.0 y las redes sociales, factores que
llevaron al nacimiento de la generacin 3.0.

Se puede afirmar que la Web 3.0 otorga contenidos y significados de manera tal que
pueden ser comprendidos por las computadoras, las cuales -por medio de tcnicas de
inteligencia artificial- son capaces de emular y mejorar la obtencin de conocimiento,
hasta el momento reservada a las personas.
Es decir, se trata de dotar de significado a las pginas Web, y de ah el nombre de Web
semntica o Sociedad del Conocimiento, como evolucin de la ya pasada Sociedad de
la Informacin

En este sentido, las amenazas informticas que viene en el futuro ya no son con la inclusin de
troyanos en los sistemas o software espas, sino con el hecho de que los ataques se han
profesionalizado y manipulan el significado del contenido virtual.

La Web 3.0, basada en conceptos como elaborar, compartir y significar, est

representando un desafo para los hackers que ya no utilizan las plataformas
convencionales de ataque, sino que optan por modificar los significados del contenido
digital, provocando as la confusin lgica del usuario y permitiendo de este modo la
intrusin en los sistemas, La amenaza ya no solicita la clave de homebanking del
desprevenido usuario, sino que directamente modifica el balance de la cuenta,
asustando al internauta y, a partir de all, s efectuar el robo del capital.

Para no ser presa de esta nueva ola de ataques ms sutiles, Se recomienda:

Mantener las soluciones activadas y actualizadas.

Evitar realizar operaciones comerciales en computadoras de uso pblico.
Verificar los archivos adjuntos de mensajes sospechosos y evitar su descarga en caso
de duda.

ANLISIS DE RIESGOS

El activo ms importante que se posee es la informacin y, por lo tanto, deben existir tcnicas
que la aseguren, ms all de la seguridad fsica que se establezca sobre los equipos en los
cuales se almacena. Estas tcnicas las brinda la seguridad lgica que consiste en la aplicacin

3
 Auditoria de Sistemas IS-547
Ingeniera de Sistemas

de barreras y procedimientos que resguardan el acceso a los datos y slo permiten acceder a
ellos a las personas autorizadas para hacerlo.

Existe un viejo dicho en la seguridad informtica que dicta: "lo que no est permitido debe estar
prohibido" y sta debe ser la meta perseguida.

Los medios para conseguirlo son:

1. Restringir el acceso (de personas de la organizacin y de las que no lo son) a los

programas y archivos.
2. Asegurar que los operadores puedan trabajar pero que no puedan modificar los
programas ni los archivos que no correspondan (sin una supervisin minuciosa).
3. Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el
procedimiento elegido.
4. Asegurar que la informacin transmitida sea la misma que reciba el destinatario al cual
se ha enviado y que no le llegue a otro.
5. Asegurar que existan sistemas y pasos de emergencia alternativos de transmisin
entre diferentes puntos.
6. Organizar a cada uno de los empleados por jerarqua informtica, con claves distintas y
permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones
empleadas.
7. Actualizar constantemente las contraseas de accesos a los sistemas de cmputo.

Elementos de un anlisis de riesgo

Cuando se pretende disear una tcnica para implementar un anlisis de riesgo informtico se
pueden tomar los siguientes puntos como referencia a seguir:

Planes para reducir los riesgos.

Anlisis de impacto al negocio

El reto es asignar estratgicamente los recursos para equipo de seguridad y bienes que
intervengan, basndose en el impacto potencial para el negocio, respecto a los diversos
incidentes que se deben resolver. Para determinar el establecimiento de prioridades, el sistema
de gestin de incidentes necesita saber el valor de los sistemas de informacin que pueden ser
potencialmente afectados por incidentes de seguridad. Esto puede implicar que alguien dentro
de la organizacin asigne un valor monetario a cada equipo y un archivo en la red o asignar un
valor relativo a cada sistema y la informacin sobre ella. Dentro de los Valores para el sistema
se pueden distinguir: Confidencialidad de la informacin, la Integridad (aplicaciones e
informacin) y finalmente la Disponibilidad del sistema. Cada uno de estos valores es un
sistema independiente del negocio, supongamos el siguiente ejemplo, un servidor Web pblico
pueden poseer los requisitos de confidencialidad de baja (ya que toda la informacin es
pblica),pero de alta disponibilidad y los requisitos de integridad. En contraste, un sistema de
planificacin de recursos empresariales (ERP),sistema puede poseer alta puntaje en los tres
variables. Los incidentes individuales pueden variar ampliamente en trminos de alcance e
importancia.

Puesta en marcha de una poltica de seguridad

Actualmente las legislaciones nacionales de los Estados, obligan a las empresas, instituciones
pblicas a implantar una poltica de seguridad.

Generalmente se ocupa exclusivamente a asegurar los derechos de acceso a los datos y

recursos con las herramientas de control y mecanismos de identificacin. Estos mecanismos
permiten saber que los operadores tienen slo los permisos que se les dio.

4
 Auditoria de Sistemas IS-547
Ingeniera de Sistemas

La seguridad informtica debe ser estudiada para que no impida el trabajo de los operadores
en lo que les es necesario y que puedan utilizar el sistema informtico con toda confianza. Por
eso en lo referente a elaborar una poltica de seguridad, conviene:

Elaborar reglas y procedimientos para cada servicio de la organizacin.

Definir las acciones a emprender y elegir las personas a contactar en caso de detectar
una posible intrusin
Sensibilizar a los operadores con los problemas ligados con la seguridad de los
sistemas informticos.

Los derechos de acceso de los operadores deben ser definidos por los responsables
jerrquicos y no por los administradores informticos, los cuales tienen que conseguir que los
recursos y derechos de acceso sean coherentes con la poltica de seguridad definida. Adems,
como el administrador suele ser el nico en conocer perfectamente el sistema, tiene que
derivar a la directiva cualquier problema e informacin relevante sobre la seguridad, y
eventualmente aconsejar estrategias a poner en marcha, as como ser el punto de entrada de
la comunicacin a los trabajadores sobre problemas y recomendaciones en trmino de
seguridad informtica.

ORGWARE
El "orgware"; o componente estructural de un sistema tecnolgico, tiene la misin de asegurar
el funcionamiento del hardware y el software, garantizar la interaccin con otros elementos y
con otros sistemas de naturaleza diferente. Todo sistema tecnolgico requiere una forma
especfica de organizacin estructural, de manera que sin ella el diseo y el componente
tecnolgico, pueden resultar o intil o perjudicial. Para su planteamiento Dobrov parte de los
siguientes argumentos:
No es suficiente disponer de los medios tcnicos necesarios.
Tampoco es suficiente con disponer de los secretos tecnolgicos, es decir, del conjunto
de los conocimientos y competencias profesionales necesarios para dirigir los procesos
correspondientes.
Y es indispensable tener una organizacin especialmente puesta a punto,
correspondiente al nivel y a la especificidad del sistema tecnolgico y a las condiciones
de aplicacin de sus principios y funciones (equipamiento organizativo especfico).

... Es el conjunto de medidas socioeconmicas, de organizacin y de gestin que estn

destinados a asegurar la identificacin y la utilizacin eficaz de una tcnica y de conocimientos
cientficos-tcnicos dados, as como la capacidad potencial del sistema tecnolgico de
adaptarse, desarrollase y autoperfeccionarse. (Dobrov, 1979, 632).
Diferentes acontecimientos han influido, para que por una parte se cambiara su forma de
aplicacin y se establecieran nuevas maneras de definirla y conceptualizarla, entre estos
acontecimientos nos encontramos con los siguientes:
Las promesas y esperanzas depositadas inicialmente en ella: disminucin del fracaso
escolar, aumento del nmero de personas que podran acceder al conocimiento,
reduccin de costos y en lneas generales, mejora de la calidad de las acciones
formativas; empezaron pronto a parecer solamente promesas, y sus aplicaciones no
dieron los resultados positivos que se esperaban.
El reconocer que la amplitud que se le haba dado, entraba en contradiccin con otras
disciplinas como la Didctica en nuestra cultura acadmica, ya que se la haba
presentado como la posibilidad de organizar cientficamente el sistema completo de la
instruccin, de manera que pudieran resolverse todos los problemas educativos.
La ampliacin de los campos y disciplinas de fundamentacin, con otras corrientes y
disciplinas, como la psicologa cognitiva, el movimiento Ciencia, tecnologa y
sociedad, el multiculturalismo,
La falta de fundamentacin terica con que se haban tomado algunas de las
decisiones dentro del campo de la TE.
La progresiva aparicin de datos y hechos que eran difciles de explicar exclusivamente
bajo el paradigma estmulo y la respuesta, y requeran para su interpretacin el apoyo
en otras corrientes psicolgicas como la cognitiva.
La significacin que el contexto empieza a adquirir como determinante de los
resultados que se adquieren de las acciones educativas, y de la insercin de las TIC.

5
 Auditoria de Sistemas IS-547
Ingeniera de Sistemas

El olvido que anteriormente se haba tenido de la dimensin organizativa para la

incorporacin de las TIC.
El desplazamiento del inters cientfico que empieza a desprenderse ms que por
conocer los productos obtenidos, por indagar sobre los procesos por los cuales stos
se alcanzan. Adems en lugar de centrarnos en conductas observables, surge el
inters por abordar las dimensiones internas de la persona. (Cabero, 2003).

Asimilacin de los tres niveles tecnolgicos: hardware, software y el mindware (abarca el

personal organizado a travs de la cultura organizacional; son los saberes, habilidades y
actitudes que posee cada individuo y que le permite interactuar con otras personas y con su
entorno)